Deux vulnérabilités zero-day affectant les appliances Ivanti Connect Secure VPN et Policy Secure network access control (NAC) sont désormais exploitées en masse.
Comme l’a découvert la société de renseignements sur les menaces Volexity, qui a également repéré pour la première fois les jours zéro utilisés dans les attaques depuis décembre, plusieurs groupes de menaces enchaînent les vulnérabilités de contournement d’authentification CVE-2023-46805 et d’injection de commandes CVE-2024-21887 dans des attaques généralisées à partir du 11 janvier.
« Les victimes sont réparties dans le monde entier et varient considérablement en taille, des petites entreprises à certaines des plus grandes organisations du monde, y compris plusieurs sociétés Fortune 500 dans plusieurs secteurs verticaux », a averti Volexity aujourd’hui.
Les attaquants ont backdooré les systèmes de leurs cibles à l’aide d’une variante webshell GIFTEDVISITOR qui a été trouvée sur des centaines d’appareils.
« Le dimanche 14 janvier 2024, Volexity avait identifié plus de 1 700 appliances VPN ICS compromises avec le webshell GIFFEDVISITOR. Ces appareils semblent avoir été ciblés sans discernement, avec des victimes partout dans le monde », a déclaré Volexity.
La liste des victimes découvertes par Volexity jusqu’à présent comprend des départements gouvernementaux et militaires du monde entier, des entreprises nationales de télécommunications, des entrepreneurs de la défense, des entreprises technologiques, des organisations bancaires, financières et comptables, des sociétés de conseil mondiales et des sociétés aérospatiales, aéronautiques et d’ingénierie.
Bien qu’Ivanti n’ait pas encore publié de correctifs pour ces deux jours zéro activement exploités, il est conseillé aux administrateurs d’appliquer les mesures d’atténuation fournies par le fournisseur sur tous les VPN ICS de leur réseau.
Ils doivent également exécuter l’outil de vérification d’intégrité d’Ivanti et considérer toutes les données sur l’appliance VPN ICS (y compris les mots de passe et tous les secrets) comme compromises si des signes de violation sont détectés, comme détaillé dans la section « Répondre à la compromission » du précédent article de blog de Volexity.
Le service de surveillance des menaces Shadowserver suit actuellement plus de 16 800 appliances VPN ICS exposées en ligne, dont près de 5 000 aux États-Unis (Shodan voit également plus de 15 000 VPN Ivanti ICS exposés à Internet).
Comme Ivanti l’a révélé la semaine dernière, les attaquants peuvent exécuter des commandes arbitraires sur toutes les versions prises en charge des appliances ICS VPN et IPS lorsqu’ils enchaînent avec succès les deux jours zéro.
Les attaques se sont maintenant intensifiées à partir d’un nombre limité de clients touchés par des attaques exploitant ces vulnérabilités, l’acteur présumé de la menace soutenu par l’État chinois (suivi comme UTA0178 ou UNC5221) étant désormais rejoint par plusieurs autres.
Comme Mandiant l’a également révélé vendredi, ses experts en sécurité ont découvert cinq souches de logiciels malveillants personnalisées déployées sur les systèmes des clients piratés dans le but final de supprimer des shells Web, des charges utiles malveillantes supplémentaires et de voler des informations d’identification.
La liste des outils utilisés dans les attaques comprend:
- Porte dérobée passive Zipline: malware personnalisé capable d’intercepter le trafic réseau, prend en charge les opérations de téléchargement/téléchargement, crée des shells inversés, des serveurs proxy, un tunneling de serveur
- Compte-gouttes à double bobine: compte-gouttes de script shell personnalisé qui écrit le shell Web Lightwire sur Iv antiCS, sécurisant la persistance
- Webshell Wire fire: shell Web personnalisé basé sur Python prenant en charge l’exécution de commandes arbitraires non authentifiées et la suppression de la charge utile
- Webshell Light wire: shell Web Perl personnalisé intégré dans un fichier légitime, permettant l’exécution de commandes arbitraires
- Récolteuse de fils de chaîne: outil personnalisé basé sur JavaScript pour récolter les informations d’identification lors de la connexion, en les envoyant à un serveur de commande et de contrôle (C2)
- Tunnelier PySoxy: facilite le tunneling du trafic réseau pour la furtivité
- BusyBox: binaire multi-appels combinant de nombreux utilitaires Unix utilisés dans diverses tâches système
- Utilitaire à deux bobines (sessionserver.pl): utilisé pour remonter le système de fichiers en lecture / écriture pour permettre le déploiement de logiciels malveillants
La plus notable est ZIPLINE, une porte dérobée passive qui intercepte le trafic réseau entrant et fournit des capacités de transfert de fichiers, de shell inversé, de tunneling et de proxy.
Des groupes de piratage chinois présumés ont utilisé un autre jour zéro ICS suivi sous le numéro CVE-2021-22893 il y a deux ans pour violer des dizaines d’organisations gouvernementales, de défense et financières américaines et européennes.
L’année dernière, à partir d’avril, deux autres jours zéro (CVE-2023-35078 et CVE-2023-35081) dans Endpoint Manager Mobile (EPMM) d’Ivanti ont été marqués comme activement exploités et signalés plus tard comme étant utilisés pour violer plusieurs organisations gouvernementales norvégiennes.
Un mois plus tard, les pirates informatiques ont commencé à utiliser une troisième faille zero-day (CVE-2023-38035) dans le logiciel Ivantis Sentry pour contourner l’authentification API sur les appareils vulnérables lors d’attaques limitées et ciblées.